В Python повторно нашли не закрытую 15 лет назад уязвимость

В Python так и не закрыли уязвимость, найденную ещё в 2007 году,
Please, Log in or Register to view URLs content!
портал Bleeping Computer. Под ударом сейчас находится более 350 тысяч проектов с открытым исходным кодом.

Существование уязвимости не было тайной, она была найдена в конце августа 2007 года, но её не закрыли и не присвоили ей степень опасности, только индекс —
Please, Log in or Register to view URLs content!
. Сама брешь находится в пакете tarfile Python, там, где используются непроверенные функции tarfile.extract() или tarfile.extractall(). Ею можно воспользоваться для потенциальной перезаписи или захвата файлов на компьютере жертвы при открытии уязвимым приложением вредоносного tar-архива через tarfile.



Повторное выявление уязвимости принадлежит исследователям безопасности из компании Trellix. Когда они изучали другую проблему в Python, обратили внимание на CVE-2007-4559 и убедились, насколько опасна находка. Эксперты взяли 257 репозиториев и вручную проверили 175 из них. Оказалось, брешь присутствует в 61% из них.

Сотрудники компании Trellix подготовили исправления для чуть более чем 11 тысяч проектов на GitHub, которые будут доступны в ответвлении затронутых репозиториев. Далее они будут добавлены в основной проект через pull request. Кроме того, более чем 70 тысяч проектов получат исправление в ближайшее время.

Python Software Foundation 15 лет не решала проблему и не предупреждала разработчиков о ней. На данный момент брешь всё ещё не исправлена. Хотя в документации разработчики языка Python добавили предупреждение, что открытие архивов из ненадёжных источников может быть опасным.